Debian-Sicherheitsankündigung

parse-control -- INN 1.5 Syntaxanalysierer Kontrolle

Datum des Berichts:
undated
Betroffene Pakete:
inn
Verwundbar:
Nein
Sicherheitsdatenbanken-Referenzen:
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: CA-1997-08.
Weitere Informationen:

Diese Verwundbarkeit könnte es entfernten Benutzern erlauben, willkürliche Befehle mit den Berechtigungen des Benutzers auszuführen, der den News-Server betreut.

Zitat aus CA-1997-08:
Entfernte unberechtigte Benutzer können willkürliche Befehle auf dem System mit den gleichen Berechtigungen wie der innd (INN Daemon) Prozess ausführen. Angreifer könnten News-Server erreichen, die sich hinter Internet-Firewalls befinden.

Versionen von INN vor 1.5.1 sind verwundbar.

Der Debian-Eintrag aus CA-1997-08:
Die aktuelle Version von INN, die mit Debian verteilt wird, ist 1.4unoff4. Jedoch enthält der »unstable« (oder Entwicklungs-)Zweig inn-1.5.1.

Referenzen: